Meni bas nije najjasnije sta bi ti hteo tacno da uradis?

Je l' da progugla i ne smara ovde, šta kažeš Informeru?

@sarmudin
Ako si nesta naucio da konfigurise na Cisco opremi onda ce ti vrlo lako biti da to isto iskonfigurises na Mikrotiku...pogotovo stvari kao sto su konfiguracija interfejsa, statickih ruta, dinamickih ruting protokola...jer imas slicnu hijerarhisku organizaciju komandi...a za sve sto ti nije jasno konsultujes Mikrotik WIKI....znaci ima materijala koliko hoces ;)
A sta bi trebalo od hardwer-a to odlucujes ti na osnovu onoga sto zelis da uradi i izkonfigurises...konsultuj Mikrotik hardwer :) a sto se tice "tako to" moraces ipak malo detaljnije pitanje da postavis ;) :D inace ce te Informer naružiti :D

Od hardwera PC koji podrzava neku virtuelizaciju, VMWare, Oracle VirtualBox.... i igras se koliko ti volja. Instaliras x86 verziju ili vec kod njih na sajtu imas gotove imidze, da ne objasanjav koji ima koje vremenske limite i limite protoka za igranje ti je svejedno.

Pa to zavisi od toga sta tacno zeli da uradi :D

Mada ipak mislim da je najbolje da napise samo "meni treba to i to, napisite mi resenje!" i da onda dodje posle sest meseci i da nas napadne kako smo neprijateljski nastrojeni jer on vec sest meseci ceka odgovor a njega nema :)

Ima i Mikrotik akademija, tek sam skoro video to. Baci pogled: http://www.mikrotik.com/training

Mikrotik akademije su samo za studente, moraš imati overen index da bi mogao da se priključiš.

Aj' da preotmem temu. :D

Napravio sam kućni lab lan gde se na posebnom mrežnom segmentu nalazi pod vmware-om jedan Win 8.1 komp i mikrotik kao ruter i naišao sam na sledeći mindf*ck...

192.0.2.0/24 je LAN segment
192.168.255.0/24 je WAN segment

Naime, napravio sam nat kako treba, i kada kreiram pravila na firewallu poput ovog:



Windows 8.1 iza Mikrotika ima net normalno, sve radi, sve može da pinguje, itd.

Međutim, kada na dnu spiska dodam na kraju za forward drop i izgleda ovako:



Windows 8.1 iza Mikrotika ne može ni da mrdne, pa me zanima zašto, zar pravila ne bi trebalo da budu order based, pa ako ima allow za LAN (lan je 192.0.2.0/24) da računari iza njega imaju izlaz, a svi ostali da dobiju drop?

Verzija je 6.38.1

Ne moze da mrdne zato sto je komunikacija dvosmerna. On moze da salje pakete ali ne mogu da stignu do njega natrag paketi zato sto ne postoji pravilo koje to dozvoljava.

Inace, pritup ti je los. Treba da napravis prvo ono sto je dozvoljeno i onda drop za sve ostalo. Ovo naravno mislim za svaki chain pojedinacno.

Ako te zanima da debagujes udji u pravilo 12 i stikliraj na akciji "LOG" i onda ce za svaki paket koji uradi drop da ti upise u log vrstu saobracaja kao i src i dst.

Pa kako ne postoji kada ima accept all za sve established i related konekcije? To je ono što me buni? A ako stavim accept forward za dst da pripada lan subnetu, onda sam faktički dozvolio sve incoming konekcije ka tim mašinama (dobro, na stranu što zbog NAT-a neće stići do tih računara, ali da nema NAT, stiglo bi)?

Drop na početku sam samo stavio za invalid state kako bih što ranije sprečio maliciozne pakete ili nema veze koji je redosled?

Pogledaću log u toku sutrašnjeg dana.

N00b pitanje, kod Mikrotika je default - accept? Dakle, ako mu izričito ne roknem deny, on onda pušta sve, ili je default drop? Čini mi se da je ovo prvo.

Tako je, default je accept. Zato ti i kazem da kada pravis pravila stavis sta je sve dozvoljeno i onda na kraju stavis da sve ostalo nije.

Ukljuci LOG na ovom poslednjem dropu pa daj ove c/p da analiziramo.

A ovo ti ne radi, koliko na brzinu vidim, zato sto kod TCP-a postoje uvek dve konekcije: jedna odlazna i jedna dolazna.

U tvom slucaju kada tvoj Windows pokusa da se poveze na nesto onda on pravi odlaznu konekciju sa stanjem NEW i ona ce da prodje zbog pravila broj 9. Onda onaj na drugoj strani odgovara sa otvaranjem dolazne konekcije sa stanjem NEW i ta konekcija nece da prodje jer za nju je SRC adresa ona udaljena i ona kod tebe nema pravilo koje propusta tako da ide na drop.

Zato se ja nikad ne bavim tim stanjem NEW nego stavim ovako nekako:

1. dozvoljen sav related & established
2. dozvoljen lan <-> lan (ovo resavam sa address list ali ti mozes i da zakucas adrese ili interfejse a imas i interface group opciju od skoro)
3. dozvoljen lan <-> vpn (resavam isto kao i prethodno)
4. dozvoljen saobracaj koji dolazi sa vpn-a ka svim destinacijama (lan i net)
5. zabranjen sav saobracaj ka net interfejsima koji za dst ima non-public adresu (u address list ima definisano sta su to non public adrese)
6. dozvoljen lan <-> net (opet preko interface group ili address list)
7. drop